Salaus yleisesti
Psono ei keksinyt pyörää uudelleen. Psonon ytimessä käytämme Curve25519- ja Salsa20-algoritmeja muodossa NaCl (lausutaan "salt") eli ”Networking and Cryptography library”. Palvelimemme käyttää PyNaCl-kirjastoa ja käyttöliittymämme ecma-nacl-kirjastoa. Molemmat ovat vakiintuneita NaCl-toteutuksia. Miksi ei RSA ja AES? RSA ja AES ovat paljon tunnetumpia, mutta ne on helppo toteuttaa väärin ja ovat huomattavasti hitaampia (tässä on hyödyllinen artikkeli, joka käsittelee eroja sekä RSA- ja AES-käytön “vaaroja”).
Selaimesi salaus
Psono salaa kaikki tiedot (kuten salasanat tai muistiinpanot) NaCl:n salaisella avainautentikoinnilla ennen kuin ne poistuvat selaimestasi ja tallennetaan palvelimelle “salaisena objektina”. Salausavain luodaan satunnaisesti ja tallennetaan yhdessä joidenkin salaisuutesi metatietojen kanssa “datastoreesi”. Selainohjelma salaa “datastoreesi” johdannaisella salasanastasi. Käytämme tähän salasanajohdantoon scrypt-algoritmia. Miksi ei PBKDF2? PBKDF2 on paljon tunnetumpi, mutta matalamman resurssitarpeen (erityisesti muistin) ansiosta se voidaan “halvalla” toteuttaa rautatasolla ja on helpompi murtaa hyökkääjän toimesta.
Kuljetuksen salaus
Kolme salauskerrosta suojaa tietojasi matkalla selaimestasi sovelluspalvelimellemme. Peruskerros on itse datan salaus, jonka asiakasohjelma suorittaa. Tämän päälle Psono on toteuttanut välikerroksen, jota kutsumme yleensä Psonon siirtosalauskerrokseksi. Tämä kerros toimii ikään kuin tunnelina (samankaltainen kuin VPN-tunneli) verkkosivuston (tai selaimen laajennuksen) ja sovelluspalvelimemme välillä. Lisäksi ylin tai uloin kerros on HTTPS (versio TLS 1.2). Mainitsemisen arvoista on myös, että sekä väli- että uloin kerros on rakennettu ja konfiguroitu tukemaan Perfect Forward Securityä (PFS).
Säännölliset tietoturvapäivitykset
Sinun täytyy pitää ohjelmistosi ajan tasalla. Tämä on paras neuvo kaikille tietokonejärjestelmille ja ohjelmistoille. Se on paras suoja haittaohjelmia, viruksia ja hakkereita vastaan sekä perusedellytys salaisuuksiesi suojaamiseksi. Psono on ymmärtänyt tämän ja julkaisee säännöllisesti päivityksiä uusimpien tietoturvapaikkausten ja ominaisuuksien kanssa.
Avoimen lähdekoodin periaate
Psonon ydin on avoimen lähdekoodin ja pysyy avoimena lähdekoodina. Tämä tarkoittaa: Ei lisenssimaksua. Ei ajan myötä kasvavia tilauskustannuksia. Ei piilotettuja tietoturvaongelmia. Joustavuus siirtää ja isännöidä missä ja kenen kumppanin kanssa haluat. Julkinen tarkastettavuus ja tietoturvatarkistukset. Voit korjata virheen itse milloin tahansa, jos haluat.
Palvelun saatavuus
Sinun täytyy päästä käsiksi salasanoihisi aina. Ymmärrämme sen. Psono tarjoaa kolme lähestymistapaa tämän ongelman ratkaisemiseksi. Ensinnäkin tarjoamme kaikille palvelimemme ja asiakasohjelmamme omassa ympäristössä isännöitäväksi, täysin ilmaiseksi ja dockerin avulla mahdollisimman helposti. Lataussivullamme löydät vastaavat docker-kuvat sekä Psono Server:ille että Psono Web Client:ille. Toiseksi tarjoamme helpon varmuuskopioinnin tekstitiedostona. Kolmanneksi, toimimme pilvessä Amazonin AWS:llä ja Googlen GCP:ssä, mikä minimoi konesalikatkosten, tietojen menetyksen ja palvelinongelmien riskit.
Päivittäiset varmuuskopiot tiedoistasi
Varmuuskopioimme kaikki Psono.pw Service -palvelun tiedot automaattisesti joka yö varmistaaksemme mahdollisimman hyvän suojan mahdollisia tietojen menetyksiä vastaan. Pääsy näihin varmuuskopioihin on myönnetty vain hyvin rajatulle joukolle henkilöitä.
Koodin turvallisuus kooditarkastusten kautta
Suoritamme kooditarkastuksia kaikelle uudelle lisätylle koodille. Koodi vaatii manuaalisen hyväksynnän ennen kuin se otetaan käyttöön tuotantoympäristössä. Automaattiset tarkistukset varmistavat koodin laadun.
Ongelman minimointi Automaattinen testaus
Testaamme kaiken koodin automaattisesti useissa vaiheissa, ja sen on läpäistävä useita laatutarkistuksia ennen kuin se voidaan ottaa käyttöön. Voit aina löytää testien nykyisen tilan tunnuksena täällä Psono Clientille ja Psono Serverille.
Automaattiset haavoittuvuusskannauksen
Meillä on käytössä useita turvallisuus- ja haavoittuvuusskannereita. Tämä mahdollistaa uusien uhkien tunnistamisen ja nopean reagoinnin. Automaattiset skannaukset suoritetaan öisin ja ne laukaisevat ilmoitukset vastaavasti. Lisäksi skannaukset suoritetaan automaattisesti rakennusputkessamme, mikä estää haavoittuvien versioiden julkaisemisen. Kolmansien osapuolien tarjoamat lisätarkistukset (esim. github.com) hälyttävät jokaisesta uudesta CVE:stä.
Monivyöhykeverkon suunnittelu
Verkostomme noudattaa parhaita käytäntöjä ja hyödyntää pilvipalveluntarjoajiemme kaikkia suojausrajoituksia. Itse verkko on jaettu useisiin kerroksiin, joiden välissä on palomuureja rajoittamaan pääsyä ja estämään tai viivästyttämään mahdollisia tunkeutumisia.
Edistynyt DDoS-suojaus
DDoS (Denial-of-Service) -hyökkäykset ovat suuri uhka nykyisille verkkopalveluille. Siksi Psono on ottanut käyttöön toimenpiteitä suojautuakseen ja käyttää Cloudflare:a vähentääkseen käyttökatkosten riskiä DDoS-hyökkäysten vuoksi.